1. Trang chủ
  2. » Luận Văn - Báo Cáo

Công nghệ an ninh chống xâm nhập trái phép trong mạng 3g umts

106 2 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 106
Dung lượng 1,4 MB

Nội dung

TRƯỜNG ĐẠI HỌC VINH KHOA ĐIỆN TỬ VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: AN NINH CHỐNG XÂM NHẬP TRÁI PHÉP TRONG MẠNG 3G UMTS Giáo viên hướng dẫn Sinh viên thực VINH – 2011 : Phạm Mạnh Toàn : Hồ Văn Toàn MỤC LỤC Trang LỜI NÓI ĐẦU TÓM TẮT ĐỒ ÁN DANH MỤC HÌNH VẼ DANH MỤC BẢNG 11 DANH MỤC CÁC TỪ VIẾT TẮT 12 Chương GIỚI THIỆU CHUNG VỀ AN NINH 16 1.1 Các yếu tố cần thiết để tạo môi trường an ninh 16 1.2 Các đe dọa an ninh 18 1.3 Các công nghệ an ninh 20 1.3.1 Kỹ thuật mật mã 20 1.3.2 Các giải thuật đối xứng 20 1.3.3 Các giải thuật không đối xứng 22 1.3.4 Nhận thực 24 1.3.5 Các chữ ký điện tử tóm tắt tin 24 1.3.6 Chứng nhận số 26 1.3.7 Hạ tầng khóa cơng khai, PKI 28 1.3.8 Nhận thực tin nhận thực 32 1.4 Các giao thức hàng đầu 34 1.4.1 Lớp ổ cắm an toàn (SSL - Secure Sockets Layer) 34 1.4.2 An ninh lớp truyền tải (TLS - Transport Layer Security) 35 1.4.3 An ninh lớp truyền tải vô tuyến (WTLS) 36 1.4.4 An ninh IP, IPSec 36 1.5 Kết luận chương 39 Chương TỔNG QUAN MẠNG 3G WCDMA UMTS 39 2.1 Kiến trúc chung hệ thống thông tin di động 3G 39 2.2 Chuyển mạch kênh (CS), chuyển mạch gói (PS), dịch vụ chuyển mạch kênh dịch vụ chuyển mạch gói 41 2.3 Các loại lưu lượng dịch vụ 3G WCDMA UMTS hỗ trợ 45 2.4 Kiến trúc 3G WCDMA UMTS R3 47 2.4.1 Thiết bị người sử dụng (UE) 48 2.4.2 Mạng truy nhập vô tuyến UMTS 50 2.4.3 Mạng lõi 52 2.4.4 Các mạng 56 2.4.5 Các giao diện 56 2.5 Kiến trúc 3G WCDMA UMTS R4 57 2.6 Kết luận chương 59 Chương CÔNG NGHỆ AN NINH 3G UMTS 60 3.1 Mơ hình kiến trúc an ninh 3G UMTS 60 3.1.1 Nhận thực 60 3.1.2 Bảo mật 61 3.1.3 Toàn vẹn 61 3.2 Mơ hình an ninh giao diện vô tuyến 3G UMTS 62 3.2.1 Mạng nhận thực người sử dụng 63 3.2.2 USIM nhận thực mạng 63 3.2.3 Mật mã hóa UTRAN 64 3.2.4 Bảo vệ toàn vẹn báo hiệu RRC 65 3.3 Nhận thực thỏa thuận khóa, AKA 66 3.3.1 Tổng quan AKA 67 3.3.2 Thủ tục AKA thông thường 68 3.3.3 Thủ tục AKA HLR/AuC 70 3.3.4 Thủ tục AKA USIM 70 3.3.5 Thủ tục AKA VLR/SGSN 70 3.3.6 USIM từ chối trả lời 70 3.4 Thủ tục đồng lại, AKA 72 3.4.1 Thủ tục đồng lại USIM 73 3.4.2 Thủ tục đồng lại AuC 73 3.4.3 Thủ tục đồng lại VLR/SGSN 74 3.4.4 Sử dụng lại AV 74 3.4.5 Xử lý gọi khẩn 74 3.5 Các hàm mật mã 75 3.5.1 Yêu cầu giải thuật hàm mật mã 75 3.5.2 Các hàm mật mã 75 3.5.3 Sử dụng hàm bình thường để tạo AV AuC 76 3.5.4 Sử dụng hàm bình thường để tạo thông số an ninh USIM 77 3.5.5 Sử dụng hàm để đồng lại USIM 78 3.5.6 Sử dụng hàm đồng lại AuC 79 3.5.7 Thứ tự tạo khóa 80 3.6 Tổng kết thông số nhận thực 80 3.6.1 Các thông số AV 80 3.6.2 AUTN 80 3.6.3 RES XRES 81 3.6.4 MAC-A XMAC-A 81 3.6.5 AUTS 81 3.6.6 MAC-S XMAC-S 81 3.6.7 Kích cỡ thơng số nhận thực 82 3.7 Sử dụng hàm f9 để tính tốn mã tồn vẹn 82 3.7.1 Các thông số đầu vào cho giải thuật toàn vẹn 83 3.7.2 MAC-I XMAC-I 84 3.7.3 Nhận dạng UIA 84 3.7.4 Các tin khơng bảo vệ tồn vẹn 85 3.8 Sử dụng hàm bảo mật f8 85 3.8.1 Các thông số đầu vào giải thuật mật mã 86 3.8.2 Nhận dạng UEA 87 3.9 Thời hạn hiệu lực khóa 87 3.10 Các giải thuật KASUMI 88 3.11 Các vấn đề an ninh 3G 88 3.12 Bàn luận 90 3.12.1 Mở đầu 90 3.12.2 Các đe dọa an ninh UMTS 90 3.12.3 Mật mã hóa giao diện vơ tuyến 91 3.12.4 Các nút chứa khóa 91 3.12.5 Nhận thực 92 3.12.6 Các thao tác an ninh độc lập người sử dụng 93 3.12.7 Toàn vẹn số liệu 93 3.12.8 Bảo mật người sử dụng 93 3.12.9 Đe dọa an ninh công cách phát lại 95 3.12.10 Truyền thông không an ninh CN 95 3.12.11 Độ dài khóa 96 3.12.12 Giấu tên dịch vụ mức cao 96 3.12.13 Mật mã hóa đầu cuối - đầu cuối 97 3.13 An ninh mạng 97 3.13.1 IPSec 98 3.13.2 MAPSec 99 3.14 An ninh chuyển mạng 2G VÀ 3G 99 3.14.1 Mở đầu 99 3.14.2 Các trường hợp chuyển mạng 100 3.14.3 Khả tương tác người sử dụng UMTS 100 3.14.4 Khả tương tác người sử dụng GMS/GPRS 101 3.15 Kết luận chương 103 KẾT LUẬN 104 TÀI LIỆU THAM KHẢO 106 LỜI NÓI ĐẦU Ngày nay, thông tin di động trở thành ngành công nghiệp viễn thông phát triển nhanh phục vụ người hữu hiệu Từ hệ thống thông tin di động 2G GSM sử dụng chuyển mạch kênh hiệu suất thấp, vốn phát triển cho dịch vụ thoại chủ yếu Thì nay, với phát triển xã hội, nhu cầu đặt đòi hỏi ngày cao dịch vụ đa phương tiện như:  Truyền thông hội nghị, quản lý thông tin cá nhân, lập biểu, nhóm làm việc, fax màu, …  Truyền thơng: báo, tạp chí, quảng cáo, …  Mua sắm: thương mại điện tử, tiền ví điện tử, giao dịch tự động, đấu giá,…  Giải trí: tin tức, thể thao, trò chơi, video, âm nhạc, …  Giáo dục: thư viện trực tuyến, máy tìm kiếm, học từ xa, …  Sức khỏe: chữa bệnh, theo dõi, chuẩn đốn từ xa, ……  Tự động hóa: đo đạc từ xa, …  Truy nhập thông tin cá nhân: thời gian biểu, đặt vé từ xa, cảnh báo vị trí,…  Các dịch vụ đánh số cá nhân toàn cầu, điện thoại vệ tinh, … Để đáp ứng cho nhu cầu việc chuyển đổi từ mạng 2G sang 3G điều tất yếu ITU (International Telecommunication Union – liên minh viễn thông quốc tế) đưa nhiều tiêu chuẩn cho 3G có hệ thống WCDMA UMTS CDMA-2000 ITU chấp nhận đưa vào hoạt động Cả hai hệ thống sử dụng công nghệ CDMA Điều cho phép thực tiêu chuẩn toàn giới cho giao diện vô tuyến hệ thống thông tin di động hệ ba Trong hai hệ thống đó, hệ thống UMTS tỏ có nhiều ưu điểm Hệ thống UMTS phát triển nhiều nước giới, chủ yếu nước phát triển, đặc biệt cho nước sử dụng mạng GSM (trong có Việt Nam) với tổng số thuê bao đạt tới 3,6 tỷ tính đến cuối năm 2008 Đây yếu tố định giúp UMTS trở thành hệ thống thông tin di động hệ ba phổ biến tiếp tục phát triển nhanh thời gian tới Khi hệ thống thông tin di động 3G UMTS đời kéo theo phát triển dịch vụ ứng dụng mới, giao dịch kinh doanh thực qua mạng di động ngày nhiều thời gian xử lý cơng việc nhanh chóng Và để đảm cho cơng việc kinh doanh vấn đề an ninh cần phải đặt nên hàng đầu Cần phải có biện pháp an ninh để giảm thiểu rủi ro hủy hoại dịch vụ, tránh thất lợi nhuận trì mức độ thỏa mãn cho khách hàng sử dụng Với yêu cầu đặt vậy, em nghiên cứu tìm hiểu nhận đề tài với tên gọi “AN NINH CHỐNG XÂM NHẬP TRÁI PHÉP TRONG MẠNG 3G UMTS ” làm đồ án tốt nghiệp đại học cho Cuối em xin gửi lời cảm ơn chân thành sâu sắc đến thầy giáo Phạm Mạnh Toàn giúp đỡ em tận tình, chu em hồn thành tốt đồ án tốt nghiệp Vinh, ngày tháng năm 2011 Sinh viên Hồ Văn Tồn TĨM TẮT ĐỒ ÁN Tên đồ án: Công nghệ an ninh chống xâm nhập trái phép mạng 3G Giao đồ án: ngày… tháng … năm 2011 Nạp đồ án: ngày… tháng … năm 2011 Giáo viên hướng dẫn: ThS Phạm Mạnh Toàn Sinh viên thực hiện: Hồ Văn Toàn Lớp: 47K Điện tử viễn thông - Khoa Điện tử viễn thông - Trường Đại học Vinh Nội dung đồ án 1.Giới thiệu chung công nghệ an ninh chống xâm nhập trái phép mạng 3G  Các yếu tố cần thiết để tạo môi trường an ninh  Các đe dọa an ninh  Các công nghệ an ninh Tổng quan mạng 3G WCDMA UMTS  Kiến trúc chung hệ thống thông tin di động 3G  Chuyển mạch kênh (CS), chuyển mạch gói (PS), dịch vụ chuyển mạch kênh dịch vụ chuyển mạch gói  Kiến trúc 3G WCDMA UMTS R3,R4,R5,R6 Công nghệ an ninh chống xâm nhập trái phép mạng 3G  Mơ hình kiến trúc an ninh 3G UMTS  Mơ hình an ninh giao diện vơ tuyến 3G UMTS  Nhận thực thỏa thuận khóa, AKA  Thủ tục đồng lại, AKA  Các hàm mật mã  Tổng kết thông số nhận thực DANH MỤC HÌNH VẼ Trang Hình 1.1 Minh họa chế sở mật mã khóa riêng .21 Hình 1.2 Nhận thực khóa cơng khai .24 Hình 1.3 Q trình sử dụng tóm tắt (digest) tin để cung cấp chữ ký điện tử 25 Hình 1.4 PKI dựa phân cấp CA phân bố .30 Hình 1.5 Nhận thực chữ ký điện tử .31 Hình 1.6 Phương pháp nhận thực sử dụng khóa MAC 33 Hình 1.7 Khn dạng gói sử dụng AH chế độ truyền tải vàđường hầm (tunnel) IPSec 37 Hình 1.8 Khn dạng gói sử dụng ESP 37 Hình 2.1 Kiến trúc tổng quát mạng di động kết hợp CS PS 40 Hình 2.2 Chuyển mạch kênh (CS) chuyển mạch gói (PS) 42 Hình 2.3 Đóng bao tháo bao cho gói IP q trình truyền tunnel .44 Hình 2.4 Thiết lập kết nối tunnel chuyển mạch tunnel 44 Hình 2.5 Kiến trúc 3G WCDMA UMTS R3 48 Hình 2.6 Vai trị logic SRNC DRNC 51 Hình 2.7 Kiến trúc mạng phân bố phát hành 3GPP R4 57 Hình 3.1 Mơ hình an ninh cho giao diện vô tuyến 3G UMTS .62 Hình 3.2 Nhận thực người sử dụng VLR/SGSN 63 Hình 3.3 Nhận thực mạng USIM .64 Hình 3.4 Bộ mật mã luồng UMTS .64 Hình 3.5 Nhận thực vẹn tin .65 Hình 3.6 Tổng quan trình nhận thực thỏa thuận khóa 67 Hình 3.7 Biểu đồ chuỗi báo hiệu AKA 69 Hình 3.8 Thủ tục từ chối trả lời nhận thực .71 Hình 3.9 Thủ tục đồng lại AKA 72 Hình 3.10 Tạo Av AuC 77 Hình 11 Tạo thơng số an ninh USIM .78 Hình 3.12 Tạo AUTS USIM 78 Hình 3.13 Thủ tục đồng lại AuC .79 Hình 3.14 Nhận thực tồn vẹn tin với sử dụng hàm tồn vẹn f9 .83 Hình 3.15 Q trình mật mã hóa giả mật mã sử dụng hàm f8 85 Hình 3.16 Phân phối IMIS số liệu nhận thực SN 92 Hình 3.17 Nhận dạng người sử dụng theo IMSI 95 Hình 3.18 Chế độ truyền tải 98 Hình 3.19 chế độ truyền tunnel 99 Hình 3.20 Kiến trúc mạng linh hoạt 100 Hình 3.21 Chuyển mạng thuê bao UMTS 100 Hình 3.22 Chuyển mạng thuê bao GSM 101 Hình 3.23 An ninh chuyển mạng máy di động hai chế độ (UMTS GSM) phát hành tương ứng 102 10 Hình 3.16 Phân phối IMIS số liệu nhận thực SN Bằng cách hạn chế số khóa lưu hệ thống, ta giảm rủi ro người sử dụng trái phép Vì nút VLR/SGSN phục vụ phải trì điều khiển chặt chẽ RNC mà cung cấp khóa CK/IK buộc chúng phải xóa khóa khơng cịn sử dụng Ngồi AV lưu phải xóa khơng cịn sử dụng 3.12.5 Nhận thực Nhận thực người sử dụng UMTS giao thực giống nhận thực GSM.Vấn đề BTS giả mạo GSM xảy khơng có nhận thực mạng từ phía người sử dụng Bằng cách đưa BTS giả, kẻ mạo danh buộc thuê bao sử dụng BTS mà khơng có nhận thực bảo mật Điều dẫn đến thông tin thực giao diện vô tuyến BTS dạng văn thơ Vì truy nhập BTS này, kẻ xâm phàm nghe số liệu người sử dụng Để tránh nhược điểm này, UMTS nhận thực mạng từ phía người sử dụng đưa Bản tin AUTN gửi từ AuC đến USIM để nhận thực AuC Bằng cách này, VLR/SGSN thực AKA cho thấy HE người sử dụng tin tưởng Vì bảo vệ tồn vẹn khơng phải tùy chọn, cho phép tránh BTS giả Tất tin báo hiệu phải bảo vệ tồn vẹn khơng thể xảy chuyển giao đến mạng không phép thiếu IK 92 Nhận thực hai phía: mạng người sử dụng đảm bảo hàm tạo khóa tin cậy 3.12.6 Các thao tác an ninh độc lập người sử dụng Các thao tác an ninh UMTS độc lập người sử dụng USIM SN tự động thực AKA sử dụng bảo vệ toàn vẹn, bảo mật Bảo vệ tồn vẹn ln ln thực cho tin báo hiệu UMTS (trừ chối gọi khẩn), không sử dụng cho số liệu người sử dụng, bảo mật tùy chọn nên người sử dụng phải thơng báo sử dụng hay không Đối với số gọi người sử dụng khơng quan tâm có hay khơng có bảo mật, giao dịch nhạy cảm (ngân hàng trực tuyến chẳng hạn) dịch vụ phải thực với bảo mật Đầu cuối phải cung cấp khả lập cấu hình cho sử dụng dịch vụ cần cung cấp tùy theo dịch vụ an ninh tích cực với việc khẳng định điều hình 3.12.7 Tồn vẹn số liệu Tồn vẹn số liệu người sử dụng khơng cung cấp UMTS để giảm tải xử lý UE RNC giảm phần bổ sung tin Tuy nhiên truyền thơng khơng bảo vệ tồn vẹn, tin USIM RNC bị giả mạo Khi tryền tin có bảo vệ tồn vẹn, tin giả mạo bị trừ chối phía thu giao thức lớp cao yêu cầu phát lại Như bảo vệ toàn vẹn số liệu UMTS Chỉ thực giao thức lớp cao 3.12.8 Bảo mật người sử dụng Quá trình nhận dạng người sử dụng UMTS sử dụng số nhận dạng cố định (IMIS) giống GSM Tuy nhiên nhận dạng UTRAN thực cách sử dụng TMSI lưu lượng CS PTMSI lưu lượng PS Tuy nhiên cần đăng ký bắt đầu đăng ký thuê 93 bao mạng khơng thể biết nhận dạng cố định người sử dụng Một người sử dụng nhận dạng SN, SN cung cấp TMSI PTMSI để đảm bảo người sử dụng có nhận dạng riêng trì quan hệ IMSI TMSI TMSI sử dụng TMSI định mạng Khi TMSI mạng ấn định công nhận, TMIS cũ loại bỏ khỏi VLR hay SGSN Trong trường hợp không công nhận, VLR/SGSN giữ nguyên hai TMSI sử dụng số chúng Bảo mật ngược sử dụng đảm bảo UMTS cách sử dụng nhận dạng tạm thời Chỉ có VLR/SGSN biết quan hệ IMSI TMSI RNC nút B biết TMSI Các TMSI sử dụng đường truyền vô tuyến nối đến đầu cuối để không cho kẻ trộm tìm nối đến nút B IMSI coi bí mật phải xử lý bí mật Nếu thuê bao di động mạng thực chuyển giao, nút mạng nối với chuyển giao số nhận dạng tạm thời chúng để tránh lộ số nhận dạng thực (IMSI) Tuy nhiên người sử dụng đến SN mà khơng có số nhận dạng tạm thời từ mạng ĐIều thường xảy người sử dụng đăng ký mạng lần đầu vầ nút SN phân giải số nhấn dạng tạm thời trao đổi với nút khác Nếu xảy điều này, VLR/SGSN phải hỏi số nhận dạng cố định (IMSI) thuê bao khơng thể có thủ tục AKA gửi thực trước biết biết số nhận dạng, nên tin trả lời gửi văn thô từ USIM đến VLR/SGSN giao diện vơ tuyến (xem hình 3.17) Đây đe dọa an ninh lớn UMTS Vấn đề chỗ USIM để tự nhận dạng SN khác với mạng thuộc nhà khai thác quản lý phải tự cung cấp số nhận dạng tồn cầu 94 Hình 3.17 Nhận dạng người sử dụng theo IMSI 3.12.9 Đe dọa an ninh công cách phát lại Các công cách phát lại hệ thống tin bị chặn sau phát lại Điều dễ dàng thực gây vấn đề sử dụng biến đầu vào số liệu cố định, để khắc phục nhược điểm số trình tự (các đầu vào thay đổi theo thời gian) sử dụng Các số trình tự AV đưa để tránh việc SN hay mạng khác tìm cách sử dụng AV nhiều lần để nhận thực tạo khóa Các tin sử dụng nhiều lần tin “Yêu cầu nhận thực người sử dụng “hay trả lời VLR/SGSN USIM bị Khi đồng hồ chờ tin VLR/SGSN chạy hết, yêu cầu phát lại tin “Yêu cầu nhận thực người sử dụng” Các hàm f8 f9 có đếm để tránh cơng phát lại Với đêm khác cho đường lên đường xuống, đếm có giá trị đầu vào, nhiên để đảm bảo gửi tin hướng số nhận dạng sử dụng Có thể coi hệ thống UMTS an tồn cơng phát lại 3.12.10 Truyền thông không an ninh CN Truyền thông nút mạng CN chưa dảm bảo an ninh Vì tin truyền nút dạng văn thô Điều 95 dẫn đến dễ nghe trộm số liệu người sử dụng tin báo hiệu đường từ đường chép lại AV Các kẻ giả danh nhà khai thác sử dụng AV để trao quyền truyền thơng dạng bảo vệ tồn vẹn với người sử dụng, kẻ giả danh tin cậy để nghe trộm số liệu người sử dụng đường truyền Nhóm an ninh 3GPP nghiên cứu để đưa mật mã hóa nút mạng phục vụ (SN), chưa có kết đường truyền mối de dọa an ninh lớn UMTS 3.12.11 Độ dài khóa Độ dài khóa trogn UMTS 128 bit Tại thời điểm tương lai gần đủ Tuy nhiên cần lưu ý cơng suất tính tốn máy tính khơng ngừng tăng nên tương lai độ dài tăng 3.12.12 Giấu tên dịch vụ mức cao Khi thủ tục AKA thực hiện, người sử dụng nhận dạng với mạng mạng biết gửi tin tính cước dịch vụ cho Sự tăng trưởng sử dụng thẻ di động (thẻ ghi nợ) cho dịch vụ không đắt tiền máy bán hàng trơng xe, đạt dấu tên người sử dụng AKA nhà cung cấp dịch vụ không cần quan tâm đến nhận dạng người sử dụng chừng họ toán tiền Chừng người sử dụng cịn đồng ý tốn tiền cho dịch vụ (trả trước hay đăng ký trả sau), nhà khia thác dịch vụ khơng cần biết người sử dụng Người sử dụng phải có khả lập cấu hình dịch vụ để biết vị trí thời mà giấu tên ứng dụng mức cao Người sử dụng phải có khă từ chối ứng dụng nhà cung cấp dịch vụ, ứng dụng đòi hỏi theo dõi thói quen người sử dụng 96 3.12.13 Mật mã hóa đầu cuối - đầu cuối Vì mật mã hóa bảo vệ tính tồn vẹn kết nối RNC, nên tin bị làm giả CN Một số dịch vụ yêu cầu bảo vệ toàn vẹn đầu cuối RNC, số dịch vụ khác nhạy cảm cần giữ bí mật từ đầu cuối đến đầu cuối Để đảm bảo tồn vẹn bảo mật truyền thơng, cần sử dụng mật mã hóa đầu cuối- đầu cuối Trong hệ thống 2G băng hẹp, khó thực mật mã hóa đầu cuối đầu cuối thời gian thực, mạng băng rộng áp dụng giải pháp mật mã hóa thơng thường Cả số liệu lưu lượng thoại mật mã hóa điều tăng an toàn cá nhân cho người sử dụng Các quan thẩm quyền muốn sử dụng thủ tục chặn theo luật để lấy truyền thông thoại số liệu người sử dụng khơng hài lịng khơng thể theo dõi truyền thông, biện pháp nói cho phép tăng an ninh cá nhân cho người sử dụng Các quan có thẩm quyền muốn kiểm soát số lượng gọi người sử dụng, gọi xảy nào, đến đâu gọi dài bao lâu, họ khơng thể xâm phạm tính riêng tư người sử dụng cách nghe gọi đọc số liệu phát thu 3.13 An ninh mạng Tính quan trọng sử dụng để bảo vệ lưu lượng miền mạng giao thức IPSec Nó đảm bảo tính bí mật tồn vẹn cho truyền thơng lớp IP Các phía thơng tin nhận thực lẫn cách sử dụng IPSec Ngoài việc bảo vệ mạng dựa IP, chế an ninh đặc biệt gọi MAPSEC phát triển để bảo vệ giao thực ứng dụng có 97 3.13.1 IPSec Các phần IPSec tiêu đề nhận thực (AH: Authentication Header), tải tin an ninh đóng bao (ESP: Encapsulation Security Payload) trao đổi khóa Intrenet (IKE: Internet Key Exchange) Hình 3.18 Chế độ truyền tải IPSec sử dụng để bảo vệ gói IP Q trình thực ESP, đảm bảo bí mật lẫn tồn vẹn, cịn AH đảm bảo tính tồn vẹn mà thơi Cả ESP AH đề cần khóa để thực nhận thực mật mã hóa gói Vì trước sử dụng ESP AH cần đàm phán khóa Quá trình thực cách an ninh thông qua IKE xây dựng ý tưởng mật mã hóa cơng cộng nhằm trao đổi thơng tin an ninh đường truyền không an ninh Tồn hai chế độ ESP: chế độ truyền tải chế độ truyền tunnel Trong chế độ truyền tải toàn gói IP trừ tiêu đề mật mã hóa Sau tiêu đề ESP bổ sung tiêu đề IP phần vừa mật mã hóa Sau mã nhận thực tin (MAC) tính tốn cho tồn bộ, trừ tiêu đề IP MAC đặt vào cuối gói Tại phía thu, tính toàn vẹn đảm bảo cách loại bỏ tiêu đề IP khỏi đầu gói MAC khỏi cuối gói Sau thực hàm MAC so sánh đầu với MAC gói, tồn vẹn thành công, tiêu đề ESP loại bỏ phần cịn lại giải mã Q trình cho hình 3.18 Trong chế độ truyền tunnel, tiêu đề bổ sung đầu gói sau trình tiến hành chế độ truyền tải cho gói nhận 98 (xem hình 3.19) Điều có nghĩa tiêu đề IP gói gốc bảo vệ Hình 3.19 Chế độ truyền tunnel Truyền thông ESP thực hai đầu cuối sử dụng chế độ truyền tải Để thực trình hai phía truyền thơng phải biết địa IP thực chức IPSec Thí dụ điển hình chế độ truyền tunnel trường hợp VPN Phương pháp bảo vệ tin điều khiển mạng thường hay dùng sử dụng ESP chế độ truyền tunnel cổng an ninh 3.13.2 MAPSec Mục đích MAPSec bảo vệ bí mật tồn vẹn tác nghiệp MAP Bảo vệ MAPSec thực ba chế độ Trong chế độ thứ an ninh không đảm bảo Trong chế độ thứ hai bảo vệ tồn vẹn, cịn chế độ thứ ba bí mật lẫn toàn vẹn đảm bảo Để đảm bảo bí mật, tiêu đề tác nghiệp MAP mật mã hóa Một tiêu đề an ninh bổ sung để dẫn cách gải mật mã Để đảm bảo tồn vẹn, MAC tính tốn dựa tải tin tác nghiệp MAC gốc tiêu đề an ninh Một thông số thay đổi theo thời gian sử dụng để tránh công cách phát lại 3.14 An ninh chuyển mạng 2G VÀ 3G 3.14.1 Mở đầu Cùng với việc đưa mạng 3G, cần phải có chế để đảm bảo tương tác mạng 2G 3G Nói cách hơn, cần đảm bảo để 99 hai mạng cộng tác với Vì cần có máy thu hai chế độ để người sử dụng 2G truy nhập vào mạng UMTS Tất nhiên nảy sinh vấn đề thuê bao 2G tìm cách đăng ký với thuê bao UMTS hay ngược lại 3.14.2 Các trường hợp chuyển mạng Tồn hai trường hợp cần thiết để thực thủ tục chuyển mạng (chuyển từ 3G sang 2G hay ngược lại) Trong trường hợp thứ 3G VLR phải có khả điều khiển 2G BSC 3G RAN, trường hợp thứ hai 2G VLR điều khiển 2G BSS Cả hai trường hợp mơ tả hình 3.20 Hình 3.20 Kiến trúc mạng linh hoạt 3.14.3 Khả tương tác người sử dụng UMTS Hình 3.21 Chuyển mạng thuê bao UMTS 100 Kịch người sử dụng yêu cầu truy nhập mạng truy nhập vơ truyến 2G 3G hinh họa hình 3.21 UMTS HLR/AuC tạo thông số RAND để sử dụng cho việc tính thơng số XRES, AUTN, Ck, IK, Kc, SRES Ngoài việc xây dựng vector nhận thực phụ thuộc vào việc VLR có điều khiển đồng thời hai UTRAN GSM BSS hay GSM BSS Trong trường hợp thứ nhất: (3G RAN) vector nhận thực tính tốn trực tiếp Trong trường hợp thứ hai (2G RAN) GSM VLR nhận thông số cần thiết RAND, SRES Kc HLR/AuC tính tốn cách nén giá trị dài UMTS (CK= 128 bit, XRES= 128 bit) thành giá trị GSM (Kc= 64 bit, SRES=32 bit) Khi ngưởi sử dụng UMTS yêu cầu nhận thực 3G RAN (UTRAN), VLR điều khiển thực thủ tục nhận thực thỏa thuận khóa Trái lại thuê bao 3G chuyển vào vùng điều khiển mạng 2G nhận thực thực VLR mạng này, khởi đầu thủ tục nhận thỏa thuận khóa cách sử dụng vector nhận thực tương ứng 3.14.4 Khả tương tác người sử dụng GMS/GPRS Hình 3.22 Chuyển mạng thuê bao GSM Trong trường hợp thuê bao GSM yêu cầu truy nhập mạng 2G hay 3G, kịch trình bày hình 3.22 HLR/AuC thực nhận thực thông số: RAND, SRES Kc Ngoài HLR/AuC phân bố 101 vector nhận thực không phụ thuộc vào kiểu VLR Tuy nhiên phần nhận thực người sử dụng phức tạp Nếu người sử dụng muốn chuyển vào mạng 3G, nhận thực người sử dụng 3G RAN (UTRAN) VLR thực cách phát thông số RAND đến người sử dụng Thiết bị người sử dụng (2 chế độ) sử dụng RAND với thông số để tạo SRES Kc SRES gửi ngược đến VLR so sánh với SRES kỳ vọng HLR tính tốn Nếu so sánh trùng nhau, thỏa thuận thực khóa Kc Khi 3G VLR điều khiển tính tốn thơng số an ninh UMTS (CK, IK) cách giải nén giá trị GSM tương ứng thành giá trị UMTS Mặt khác, GSM nhận thực 2G RAN, VLR điều khiển khởi đầu nhận thực thảo thuận khóa trực tiếp Cuối ta tổng kết an ninh trình chuyển mạng thuê bao hai chế độ: UMTS GSM hình 3.23 Hĩnh vẽ cho thấy phát hành tương ứng với chế an ninh Hình 3.23 An ninh chuyển mạng máy di động hai chế độ (UMTS GSM) phát hành tương ứng 102 3.15 Kết luận chương Việc bảo vệ sở liệu khách hàng điều tối quan trọng nhà khai thác thông tin di động cung cấp dịch vụ 3G Rất khó để yêu cầu người dùng phải cài hết phần mềm đến ứng dụng cho máy điện thoại họ Quan điểm nhiều chuyên gia cho trách nhiệm bảo mật trước hết thuộc hãng viễn thông nhà cung cấp dịch vụ, sau đến người dùng Hơn nữa, việc bảo mật không vấn đề trách nhiệm nhà khai thác 3G khách hàng mà cịn biện pháp bảo vệ Khi thiết bị thơng minh ứng dụng "cởi trói" mạng di động 3G tốc độ cao, mã độc xuất chúng cơng ngược lại hệ thống nhà cung cấp dịch vụ 103 KẾT LUẬN Mạng 3G Việt Nam mạng LAN (mạng máy tính cục bộ) khổng lồ, lại thiếu người quản trị khiến cho người sử dụng phải đối mặt với nguy an tồn thơng tin lớn Mạng 3G Việt Nam khai trương vòng tháng, số người sử dụng không nhiều vấn đề an ninh thông tin cho người sử dụng chưa quan tâm Vấn đề an ninh cho mạng 3G chưa đáng kể song dịch vụ 3G phát triển nhanh tương lai nguy an tồn thông tin xảy nhiều nhà cung cấp dịch vụ người sử dụng khơng có quan tâm mức Theo chuyên gia bảo mật đến từ Bkis, nguyên nhân mạng 3G chứa nhiều nguy an tồn thơng tin mạng 3G vận hành mạng LAN Nếu mạng ADSL, việc giao tiếp máy tính bị chặn modem có tính bảo mật cao mạng 3G lại kết nối thơng suốt từ máy tính sang máy tính khác mở tất cổng dịch vụ mạng LAN, chẳng hạn cổng chia sẻ file 445, cổng windows 135… Do đó, nguy bảo mật mạng 3G hoàn toàn giống nguy mạng LAN mắc phải Thêm vào đó, với đường truyền lớn, tốc độ cao, dịch vụ 3G phát triển mạnh Các thiết bị đầu cuối thông minh trở thành máy tính thu nhỏ Điều đồng nghĩa tham gia vào Internet, thiết bị đối mặt với rủi ro bảo mật Kết người dùng mạng 3G bị tin tặc (hacker) cơng thăm dị qua IP, phần mềm, lỗ hổng bảo mật, công thâm nhập vào file chia sẻ, dò mật nhiều hình thức cơng khác 104 Theo chun gia bảo mật đến từ Bkis VNISA nhà mạng cung cấp dịch vụ 3G VinaPhone, MobiFone Viettel chưa có động thái để bảo vệ an tồn thơng tin cho người sử dụng dịch vụ 3G Các chuyên gia cho việc bảo vệ sở liệu khách hàng điều quan trọng nhà khai thác thông tin di động cung cấp dịch vụ 3G người sử dụng dịch vụ 3G khó tự cài đặt phần mềm bảo vệ thông tin máy điện thoại họ, đặc biệt người hạn chế kiến thức cơng nghệ Ngồi việc cấu hình, nhà cung cấp dịch vụ cần cài đặt firewall, IDS, IPS, Antivirus để đảm bảo an toàn cho người sử dụng dịch vụ Đối với người sử dụng dịch vụ đặt firewall cho thiết bị kết nối; phân quyền thư mục chia sẻ đặt mật thuộc loại mạnh để vượt qua hình thức cơng thăm dị cơng thâm nhập hacker Ngoài ra, sử dụng Antivirus, cập nhật vá lỗi phần mềm Sau thời gian học tập, nghiên cứu, hướng dẫn tận tình thầy giáo trường Đại Vinh, trực tiếp Th.S Phạm Mạnh Tồn thầy giáo Khoa Điện tử viễn thông Trường Đại học Vinh đến em hoàn thành đồ án tốt nghiệp Tuy nhiên khả có hạn nên khơng tránh khỏi thiếu sót Rất mong nhận bảo, góp ý thầy giáo bạn để em nắm vững thêm kiến thức trường Em xin chân thành cảm ơn! Sinh viên thực Hồ Văn Toàn 105 TÀI LIỆU THAM KHẢO TS Nguyễn Phạm Anh Dũng, Sách “Thông tin di động hệ ba”, Nxb Bưu Điện, 2001 TS Nguyễn Phạm Anh Dũng, Sách “cdmaOne cdma2000”, Nxb Bưu Điện, 2003 TS Nguyễn Phạm Anh Dũng, Giáo trình “Thơng tin di động hệ ba”, Học Viện Cơng nghệ Bưu Viễn thơng , Nhà xuất Bưu Điện, 2004 TS Nguyễn Phạm Anh Dũng, Sách „An ninh thông tin di động”, Nxb Bưu điện, 9/2006 TS Nguyễn Phạm Anh Dũng, Bài giảng “Thông tin di động” cho đào tạo từ xa, Học Viện Cơng nghệ Bưu Viễn thơng 2007 TS Nguyễn Phạm Anh Dũng, Giáo trình “Lộ trình phát triển thông tin di động3G lên 4G”, Học viện Công nghệ Bưu Viễn thơng, 12/2008 106 ... thiệu chung công nghệ an ninh chống xâm nhập trái phép mạng 3G  Các yếu tố cần thiết để tạo môi trường an ninh  Các đe dọa an ninh  Các công nghệ an ninh Tổng quan mạng 3G WCDMA UMTS  Kiến... động 3G  Chuyển mạch kênh (CS), chuyển mạch gói (PS), dịch vụ chuyển mạch kênh dịch vụ chuyển mạch gói  Kiến trúc 3G WCDMA UMTS R3,R4,R5,R6 Công nghệ an ninh chống xâm nhập trái phép mạng 3G. .. gian 1.2 Các đe dọa an ninh Việc xây dựng giải pháp an ninh khó khơng có nhận biết mối nguy an ninh mạng Do vậy, sau xem xét vấn đề cần thiết môi trường an ninh, phần xem xét bốn nguy an ninh mạng:

Ngày đăng: 07/10/2021, 23:32

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w